Czy warto bać się RODO?

Już 25 maja 2018 r. wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE czyli słynne RODO. W ostatnim czasie w mediach pojawiło się wiele informacji na ten temat, zwłaszcza w kontekście ogromnych kar finansowych za naruszenie przepisów i zwiększonych obowiązków nałożonych na przedsiębiorców. Pytanie, czy rzeczywiście trzeba się aż tak bardzo bać?

Skąd wynikają obawy przed RODO?

Strach przed RODO bierze się najczęściej z nieznajomości jego przepisów. Wiele obowiązków wprowadzonych przez RODO wcale nie jest nowych, gdyż zostało przejętych z aktualnie obowiązujących regulacji, choć często w nieco zmodyfikowanej formie. Co najistotniejsze, fizjoterapeuci są zobowiązani do ochrony danych pacjentów już od ponad 20 lat (tyle bowiem liczą sobie aktualnie obowiązujące przepisy o ochronie danych). RODO zmienia natomiast sposób patrzenia na kwestie ochrony danych. Zamiast sformalizowanych i jednorodnych wymagań technicznych określonych bezpośrednio w przepisach prawa, RODO wprowadza podejście praktyczne, oparte na analizie ryzyka naruszenia danych osobowych. Każda osoba przetwarzająca dane osobowe będzie musiała sama zdecydować, w jaki sposób je zabezpieczyć w zależności od rodzaju przetwarzanych danych i skali zagrożeń wynikających z przetwarzania. Nie wszystkie dane wymagają bowiem takiego samego stopnia ochrony. Dlatego też, wbrew powszechnej opinii, w wielu przypadkach RODO nie tylko nie utrudni, ale wręcz uprości przetwarzanie.

Dane przetwarzane przez fizjoterapeutów

Fizjoterapeuci mogą przetwarzać różne rodzaje danych. Z pewnością najistotniejsze dla nich będą dane pacjentów, w tym w szczególności dane dotyczące zdrowia. Dane zdrowotne ze względu na swój przedmiot uznawane są za dane wrażliwe, które trzeba w sposób szczególny chronić. Poza danymi pacjentów fizjoterapeuta może przetwarzać też inne dane, np. swoich pracowników (jeśli takowych zatrudnia) czy dane kontrahentów będących osobami fizycznymi świadczącymi na jego rzecz usługi (np. w zakresie serwisu systemów komputerowych czy księgowości).

Jaki jest status fizjoterapeuty w świetle RODO?

Fizjoterapeuta może mieć na gruncie RODO różne obowiązki. Może w pełni podlegać regulacji RODO jako administrator danych, w szczególności w zakresie danych pacjentów obsługiwanych w ramach swojej indywidualnej praktyki czy zatrudnianych przez siebie pracowników. Może być też członkiem personelu innego administratora (np. większej placówki takiej jak szpital czy przychodnia) zatrudnionym w oparciu o umowę o pracę, umowę zlecenia lub świadczącym usługi w ramach własnej działalności gospodarczej. W każdej z tych sytuacji obowiązki i odpowiedzialność fizjoterapeuty będą kształtować się odmiennie.

Fizjoterapeuta jako administrator danych

Jeśli fizjoterapeuta posiada pełną niezależność co do decydowania o celach i sposobach przetwarzania danych (np. posiada własny gabinet fizjoterapeutyczny, w którym przyjmuje), zostanie uznany za administratora danych pacjentów, pracowników lub kontrahentów, które przetwarza. W takiej sytuacji będą na nim spoczywać wszystkie obowiązki określone w RODO. Przede wszystkim obowiązek fizjoterapeuta powinien zadbać o odpowiednią podstawę przetwarzania danych. W przypadku danych pacjentów dotyczących zdrowia, taką podstawą może być niezbędność do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej i leczenia. Fizjoterapeuta jest bowiem uznawany za podmiot leczniczy prowadzący działalność leczniczą, a zatem ma prawo przetwarzania danych dotyczących zdrowia z mocy przepisów prawa. Ponadto, prawo wglądu w dokumentację medyczną pacjenta i uzyskiwania informacji o stanie zdrowia pacjenta zostało mu wprost przyznane w ustawie o zawodzie fizjoterapeuty. W niektórych przypadkach przetwarzanie danych pacjentów może odbywać się dodatkowo na podstawie zgody, np. w sytuacji gdyby fizjoterapeuta chciał rozsyłać newsletter dotyczący prowadzonej działalności. Taka zgoda musi być wyrażona w sposób wyraźny (w formie oświadczenia) i wskazywać konkretny cel przetwarzania (np. wysyłkę newslettera). Administrator – przy zbieraniu danych – powinien spełnić również obowiązek informacyjny wobec osób, których dane przetwarza. Szczegółowy zakres tego obowiązku został wprost określony w RODO. Będzie też zobowiązany do zapewnienia odpowiedniego bezpieczeństwa przechowywanych danych, jak i umożliwienia realizacji praw przez osoby, których dane dotyczą, w tym prawa dostępu do tych danych, ich sprostowania, ograniczenia przetwarzania czy usunięcia. W tym celu warto opracować stosowne procedury wewnętrzne. Wreszcie, administrator powinien prowadzić rejestr czynności przetwarzania danych osobowych, w którym znajdują się informacje dotyczące m.in. celu przetwarzania danych, kategorii przetwarzanych danych, kategorie osób, których dane dotyczą i planowanego terminu usunięcia danych.

Przetwarzanie danych osobowych na podstawie upoważnienia administratora danych

Jeśli fizjoterapeuta jest zatrudniony na podstawie umowy o pracę lub zlecenia, nie będzie posiadał statusu administratora. Za administratora danych zostanie uznany jego pracodawca (szpital, przychodnia, itp.), który decyduje o celach i sposobach przetwarzania danych. Fizjoterapeuta będzie w takiej sytuacji zobowiązany jedynie do stosowania się do obowiązujących u pracodawcy procedur wewnętrznych dotyczących przetwarzania danych. Ewentualne nieprawidłowości w obszarze przetwarzania danych będą obciążać wyłącznie pracodawcę, a fizjoterapeuta nie poniesie za nie odpowiedzialności. Oczywiście, nie dotyczy to tych skrajnych przypadków, kiedy fizjoterapeuta umyślnie doprowadzi do wycieku danych lub spowodowania innego rodzaju szkód.

Powyższe pozostaje w mojej ocenie aktualne również wówczas, jeśli fizjoterapeuta współpracuje z placówką medyczną, prowadząc własną działalność gospodarczą, i faktycznie wykonuje swoje zadania w podobny sposób jak osoby zatrudnione na podstawie umowy o pracę (np. realizuje świadczenia wyłącznie na terenie danej placówki, korzysta ze znajdującego się tam sprzętu, podlega poleceniom przełożonych, itp.). W takiej sytuacji będzie musiał jedynie stosować się do procedur obowiązujących w jednostce, z którą współdziała. Można się jednak spotkać też ze stanowiskiem, zgodnie z którym fizjoterapeuta prowadzący działalność jest podmiotem przetwarzającym dane (procesorem). Placówki medyczne, które przyjmą taką kwalifikację, będą wymagać od fizjoterapeuty podpisania umowy powierzenia przetwarzania danych. Status ten jest dla fizjoterapeuty mniej bezpieczny, gdyż większe są stawiane mu wymagania i odpowiedzialność (powinien przykładowo wdrożyć odpowiednie zabezpieczenia danych, pomagać administratorowi w wypełnianiu jego obowiązków).

Podsumowanie

Do RODO dobrze się jest przygotować. Jednak warto pamiętać, że obowiązki w zakresie ochrony danych to nie nowość. Dla podmiotów, które dotychczas dbały o bezpieczeństwo informacji, wchodzące w życie zmiany są ewolucyjne a nie rewolucyjne. Natomiast dla osób, dla których ochrona danych jest czymś nowym, będzie to z pewnością większy wysiłek. Niemniej, projekt jest jak najbardziej do zrealizowania, a przy wsparciu odpowiedniego partnera merytorycznego można w miarę szybko nadrobić zaległości.

 

Radca Prawny Ewa Kuczyńska

Kancelaria Prawna GFP Legal

 

Po­dobał Ci się ten tekst? Zostaw swój komentarz poniżej.

You must be logged in to post a comment.